חולשת אבטחה חמורה במעבדי המחשבים והאייפונים של חברת אפל נחשפה היום (ג') על ידי קבוצת המחקר והאיומים של חברת הסייבר אימפרבה (imperva). על פי חוקרי הסייבר שעבדו עליה, מדובר בפרצה שהשפיעה על למעלה ממיליארד משתמשים ברחבי העולם, בין היתר גם על משתמשיה הרבים של אפל בישראל.
החולשה אפשרה לתוקפים "להקפיא" את המכשירים למשך כמה דקות בעת פתיחת קישור זדוני. בנוסף, החוקרים הצליחו לבסס תרחישים נוספים בהם אפילו לא נדרש מהמשתמש לפתוח את הקישור הזדוני. במקרים מסוימים הצליחו החוקרים אפילו לשלב בין ההודעה הזדונית ובין הקפאה מלאה של המכשיר שהודבק.
חולשת האבטחה התגלתה בכל המכשירים המבוססים על המעבדים מסדרת M ו-A של אפל. כלומר ממכשירי אייפון ואייפדים ועד למחשבי המק. החולשה נגרמה עקב פרצה במנהלי ההתקנים של המעבד הגרפי, שאפשרה להריץ קוד זדוני דרך WebGL. זה בתורו יצר עומס יתר על המעבד הגרפי והוביל לקריסה או קיפאון של המכשיר.
חשוב לציין כי לאחר חשיפת חולשת האבטחה, נעשתה פנייה אל אפל אשר פרסמה עדכון אבטחה (CVE-2023-40441) שתיקן את הבעיה, זאת בעזרת שיפור אימות הקלט של מנהל ההתקנים בגרסאות iOS 17, iPadOS 17 ו- macOS Sonoma. על פי החוקרים ואפל עצמה - לא תועד מקרה בו החולשה נוצלה בפועל.
רון מסאס, חוקר חולשות בחברת אימפרבה (Imperva) מסר כי: ״החולשה הזו היא דוגמה לקונפליקט בין פונקציונליות לאבטחה. ככל שאנחנו מאפשרים למפתחים גישה עמוקה יותר ל-GPU, כך הם יכולים ליצור חוויות מדהימות כמו הרצת מודלי שפה ישירות בדפדפן ומשחקים מתקדמים מצד אחד, אך יחד עם זאת, אנחנו גם חושפים את המשתמשים לסיכונים חדשים. האתגר האמיתי הוא לאפשר את הקדמה הזו, תוך שמירה על ההגנה הנדרשת מפני ניצול לרעה״.
